Prawne aspekty przetwarzania danych w chmurze
Download
Report
Transcript Prawne aspekty przetwarzania danych w chmurze
Analiza zakresu praw własności danych,
wykorzystywanych przy budowie platformy
oraz identyfikacja wymagań, dotyczących
ochrony danych z uwzględnieniem specyfiki
przetwarzania informacji w chmurze, prawa
UE oraz prawa krajowego.
Robert Kazimierowicz
Tomasz Konopa
Agenda
• Analiza zakresu praw własności danych w kontekście ich przekazania do
przetwarzania w chmurze
• Cywilnoprawna umowa określająca zakres i ograniczenia praw stron
• Prawo do ochrony danych użytkowników
• Wymagania dotyczące przetwarzania oraz ochrony danych w chmurze
• Ochrona danych osobowych
• Pojęcie i ochrona pozostałych danych
• Szyfrowanie danych
3
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Wstęp
• Powstanie platformy Cloud Computing implikuje konieczność zapewnienia
bezpieczeństwa i prywatności przetwarzanych danych w chmurze, ze szczególnym
uwzględnieniem ochrony danych osobowych.
• Przekazywanie danych osobowych obywateli poza kraj podlega ścisłym
regulacjom. W sytuacji, gdy przetwarzanie danych odbywa się na terenie Polski czy
też Unii Europejskiej, dostawca usługi zobowiązany jest przestrzegać zasad
bezpieczeństwa panujących w obszarze wspólnotowym.
• W przypadku, gdy chmura znajduje się poza UE, jej dostawca musi dochować
wszelkich procedur bezpieczeństwa w stopniu adekwatnym do zasad unijnych.
Ponadto procedury te w wielu przypadkach muszą zostać zaakceptowane przez
Generalnego Inspektora Ochrony Danych Osobowych, który podejmuje decyzję,
czy tak zabezpieczone dane osobowe mogą być przetwarzane poza UE.
4
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Analiza zakresu praw własności
danych w kontekście ich przekazania
do przetwarzania w chmurze /1
• Same usługi oferowane w chmurze, podzielić można na trzy najważniejsze
kategorie:
• SaaS (Software as a Service), czyli oprogramowanie zainstalowane w środowisku chmury;
• IaaS (Infrastructure as a Service), czyli infrastruktura umieszczona w środowisku chmury;
• PaaS (Platform as a Service), czyli zdalnie udostępniana platforma do rozwoju aplikacji
umieszczona w chmurze.
• W projekcie znajdzie zastosowanie model Saas (Software as a service) i na tym
modelu skupiać się będzie niniejsza analiza.
5
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Analiza zakresu praw własności
danych w kontekście ich przekazania
do przetwarzania w chmurze /2
• Dane przechowywane w chmurze mogą zmieniać swoją lokalizację. Dostawcy
rozwiązań Cloud często korzystają z podwykonawców, którzy utrzymują dane
powierzone dostawcy przez jego klientów na swoich własnych serwerach.
• Dane są umieszczane na serwerach dostawcy lub jego podwykonawców. Z punktu
widzenia odbiorcy lokalizacja jest nieistotna, jednakże musi odpowiadać normom
bezpieczeństwa, które gwarantuje dostawca.
6
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Cywilnoprawna umowa określająca
zakres i ograniczenia praw stron /1
• Podstawą nawiązania stosunku cywilno-prawnego, będącego podstawą powstania
Cloud Computing, jest umowa między stronami. Umowy te można porównać do
umów stosowanych w przypadku modeli outsourcingowych.
• art. 8 Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.
(Dz.U.2002.144.1204) nakazuje umieszczenie regulaminu korzystania z serwisu, w
którym zawarte są:
• „(1) rodzaje i zakres usług świadczonych drogą elektroniczną,
• (2) warunki świadczenia usług drogą elektroniczną, w tym:
(a) wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym
posługuje się usługodawca,
(b) zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym,
• (3) warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną,
• (4) tryb postępowania reklamacyjnego”.
7
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Cywilnoprawna umowa określająca
zakres i ograniczenia praw stron /2
• SLA opierają się przeważnie na ustalaniu minimalnego poziomu świadczeń: ich
dostępności, wydajności oraz poziomu wsparcia dostawcy.
• Umowy dot. Cloud Computing zawierają również klauzule, regulujące poziom
bezpieczeństwa danych oraz metody ich ochrony oraz środki naprawcze na
wypadek przestoju.
• W umowach tego rodzaju spotkać się można z kilkoma podstawowymi kategoriami
ustaleń, jak jakość usługi, odszkodowanie za niezgodne z umowa działanie
platformy czy sposób uzyskiwania wsparcia technicznego
8
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Prawo do ochrony danych
użytkowników /1
• Większość informacji, w szczególności tych wartościowych, ma możliwych do
określenia właścicieli: dane osobowe są własnością osób, których dotyczą, a
tajemnice handlowe należą do zawiadującego nimi przedsiębiorstwa.
• art. 222 ust. 1 Kodeksu Cywilnego stanowi, iż właściciel rzeczy (czyli także danych)
ma prawo żądać od osoby de facto władającej tą rzeczą do jej wydania. Tym
niemniej, dostawca zawsze powinien mieć umownie zapewnioną możliwość
dostępu do danych, które umieścił w chmurze – ułatwi mu to m.in.
bezproblemową zmianę dostawcy usług oraz pomoże wyeliminować ryzyko
związane ze stosowaniem przepisów zagranicznych.
9
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Prawo do ochrony danych
użytkowników /2
• Istotnym elementem ochrony danych jest ich zabezpieczenie.
• Stosowanie odpowiednich środków bezpieczeństwa w centrach danych może być
nie tylko ogólnie przyjętym standardem, lecz również zobowiązaniem umownym
(SLA).
• W umowie podpisywanej z dostawcą Cloud Computing winien znaleźć się zapis,
obowiązujący dostawcę do przeprowadzania regularnych audytów bezpieczeństwa.
• Umowa może określać istotę zabezpieczeń wirtualnych – np. wymogu kodowania
SSL lub stosowania systemów typu firewall.
• Równie istotne jest tworzenie regularnych kopii zapasowych.
• Z umowy jasno powinno wynikać:
•
•
•
•
10
(1)
(2)
(3)
(4)
z jaką częstotliwością kopie te będą wykonywane,
gdzie będą one przechowywane,
przez jaki okres będą one utrzymywane,
na jakiej zasadzie będą one dostępne dla odbiorcy.
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Wymagania dotyczące przetwarzania
oraz ochrony danych w chmurze /1
• Najistotniejszym problemem platformy Cloud Computing jest zagwarantowanie
bezpieczeństwa przetwarzania danych, szczególnie w kontekście wirtualnej ich
formy i przetwarzania ich za pomocą internetu, gdzie dane mogą być kopiowane,
udostępniane nawet bez wiedzy ich właścicieli.
• Należy wiec wskazać, iż strony - uczestnicy projektu, będą zobligowani do
ustanowienia podmiotu odpowiedzialnego jako administrator danych.
11
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Wymagania dotyczące przetwarzania
oraz ochrony danych w chmurze /2
• Zgodnie z art. 7 pkt. 4 Ustawy o ochronie danych osobowych, poprzez
administratora danych osobowych rozumie się organ, jednostkę organizacyjną,
podmiot lub osobę, które mają siedzibę albo miejsce zamieszkania na terytorium
Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane
osobowe przy wykorzystaniu środków technicznych, znajdujących się na terytorium
Rzeczypospolitej Polskiej, decydujące o celach i środkach przetwarzania danych
osobowych.
• Na wstępie należy rozróżnić dwa rodzaje danych, o których mówią polskie i
wspólnotowe przepisy prawne, tj. dane osobowe i pozostałe dane.
12
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Ochrona danych osobowych /1
• Zgodnie z Ustawą o ochronie danych osobowych, administrator danych winien
uczynień zadość wymaganiom określonym w tejże ustawie.
• Administrator danych jest więc obowiązany zastosować środki techniczne i
organizacyjne, które w zależności od kategorii przetwarzanych danych oraz
zagrożeń, zapewnią odpowiednią ochronę danym (art. 36 Ustawy o ochronie
danych osobowych).
• Administrator danych prowadzi dokumentację, opisującą sposób przetwarzania
danych oraz środki podjęte w celu ich ochrony.
13
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Ochrona danych osobowych /2
• Administrator obowiązany jest także prowadzić ewidencję osób upoważnionych do
przetwarzania danych osobowych (art. 39 Ustawy o Ochronie Danych Osobowych).
• W szczególności, administrator danych powinien zabezpieczyć dane przed:
• udostępnieniem osobom nieupoważnionym,
• zabraniem przez osobę nieuprawnioną,
• przetwarzaniem z naruszeniem ustawy,
• zmianą, utratą, uszkodzeniem lub zniszczeniem.
14
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Ochrona danych osobowych /3
• Administrator obowiązany jest także prowadzić ewidencję osób upoważnionych do
przetwarzania danych osobowych (art. 39 Ustawy o Ochronie Danych Osobowych).
• Zgodnie z art. 40 Ustawy o ochronie danych osobowych, Administrator danych ma
obowiązek zgłoszenia zbioru danych osobowych do rejestracji przez Generalnego
Inspektora ds. Ochrony Danych Osobowych (GIODO), zanim rozpocznie
przetwarzanie zawartych w nim danych.
• Zbiór danych osobowych to „każdy posiadający strukturę zestaw danych o
charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od
tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.
15
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Pojęcie i ochrona pozostałych danych
/1
• Kwestia przetwarzania danych, które nie stanowią danych osobowych, nie jest
bezpośrednio uregulowana prawnie.
• Dane takie jak tajemnice przedsiębiorstwa (know how czy biznes plany) są ogólnie
chronione Ustawą z dnia 16 kwietnia 1993 r. (Dz.U.2003.153.1503) o zwalczaniu
nieuczciwej konkurencji;
• ponadto, kompilacje danych mogą być chronione Ustawą z dnia 27 lipca 2001 r. o
ochronie baz danych (Dz.U.2001.128.1402).
16
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Pojęcie i ochrona pozostałych danych
/2
• Tajemnica przedsiębiorstwa zdefiniowana jest w art. 11 ust 4 Ustawy o zwalczaniu
nieuczciwej konkurencji jako „nieujawnione do wiadomości publicznej informacje
techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje
posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne
działania w celu zachowania ich poufności.”
• Według polskiego prawa dostawca rozwiązań Cloud nie może więc korzystać z
poufnych informacji, umieszczonych w chmurze przez jego klientów.
17
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Pojęcie i ochrona pozostałych danych
/3
• Porozumienie TRIPS (Porozumienie w sprawie handlowych aspektów praw
własności intelektualnej).
• Zgodnie z art. 39 ust. 2 tego porozumienia:
„osoby fizyczne i prawne będą miały możliwość zapobiegania, aby informacje pozostające
w sposób zgodny z prawem pod ich kontrolą nie zostały ujawnione, nabyte lub użyte bez ich
zgody przez innych, w sposób sprzeczny z uczciwymi praktykami handlowymi, jak długo takie
informacje:
są poufne – w tym sensie, że jako całość lub w szczególnym zestawie i zespole ich elementów nie
są ogólnie znane lub łatwo dostępne dla osób z kręgów, które normalnie zajmują się tym rodzaje
informacji;
mają wartość handlową – dlatego, że są poufne, a ponadto zostały poddane przez osobę, pod
której legalną kontrolą informacje te pozostają, rozsądnym, w danych okolicznościach, działaniom dla
utrzymania ich poufności”.
18
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Pojęcie i ochrona pozostałych danych
/4
• Rozporządzenie Komisji Europejskiej o transferze technologii (Rozporządzenie
Komisji (WE) nr 772/2004 z dnia 7 kwietnia 2004 r. w sprawie stosowania art.
81 ust. 3 Traktatu do kategorii porozumień o transferze technologii).
• W myśl tego rozporządzenia, know-how stanowi pakiet nieopatentowanych
informacji praktycznych, wynikających z doświadczeń i badań, które są:
• niejawne – nie są powszechnie znane lub łatwo dostępne;
• istotne – ważne i użyteczne z punktu widzenia wytwarzania produktów objętych umową
dotyczącą transferu technologii;
• zidentyfikowane – czyli opisane w sposób wystarczająco zrozumiały, aby można było
łatwo sprawdzić, czy spełniają kryteria niejawności i istotności.
19
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Pojęcie i ochrona pozostałych danych
/5
• Należy wskazać, iż nie ma żadnych ograniczeń co do tego, jakie informacje
mogą stanowić tajemnicę przedsiębiorstwa. W komentarzach tematu oraz
w orzecznictwie wskazuje się na:
• patentowane lub niepatentowalne wynalazki, natomiast opatentowany wynalazek nie
stanowi już tajemnicy przedsiębiorstwa (ponieważ jest jawny);
• plany techniczne, listy klientów;
• wiedzę i metody natury administracyjnej i organizacyjnej;
• metody kontroli jakości, sposoby marketingu, organizacji pracy,
• treść zawartych umów, porozumień, korespondencję handlową;
• strategię funkcjonowania przedsiębiorstwa;
• informacje dotyczące techniki czy sposobu produkcji ;
• informacje dotyczące struktury przedsiębiorstwa, przepływu dokumentów, sposobu
kalkulacji cen, zabezpieczenia danych;
• treść opinii prawnych udzielanych przedsiębiorcy;
• treść negocjacji czy prace nad nowym rozwiązaniem.
20
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Pojęcie i ochrona pozostałych danych
/6
• Orzecznictwo uznaje za tajemnicę m.in.:
• dane zawarte w sprawozdaniach podatkowych;
• dane obrazujące wielkość produkcji i sprzedaży, a także źródła zaopatrzenia i
zbytu;
• informacje o planach wydawniczych;
• wyniki finansowe stowarzyszenia i regulamin repartycji wynagrodzeń autorskich.
• Należy wskazać, iż bez znaczenia jest czy przedsiębiorca wykorzystuje w
jakikolwiek sposób posiadaną informację oraz czy informacja ta nadaje się
do zastosowania w konkurencyjnym przedsiębiorstwie.
21
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Szyfrowanie danych
• Bezpieczeństwo danych jest gwarantowane przez odpowiednie systemy
informatyczne.
• Dane mogą być szyfrowane za pomocą protokołu SSL.
• Istotne znaczenie ma również zastosowanie firewalli, częstotliwość wykonywania
kopii zapasowych, miejsce, gdzie będą przechowywane dane, zasady
udostępniania ich odbiorcy.
• Obecnie standardami związanymi z certyfikacją usług w chmurze są:
• Standard SAS70 wydawany przez Amerykański Instytut Biegłych Rewidentów AICPA
(American Institute of Certified Public Accountants), w USA zastępowany standardem
SSAE16;
• drugi to standard ISAE 3000 wydany przez IAASB (The International Auditing and
Assurance Standards Bard);
• W Polsce najczęściej wykorzystywany jest SAS70 i od 2011 roku ISAE3402. Standard
SAS70 dotyczy m.in. kontroli wewnętrznej, zarządzania ryzykiem, mechanizmów kontrolnych
oraz zakresu świadczonych usług.
22
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa
Podsumowanie
• Dla uczestników projektu największe znaczenie może mieć zagwarantowanie
bezpieczeństwa tajemnic przedsiębiorstwa, czyli. szeroko rozumianego know how.
• W tym celu administrator danych musi, niewątpliwie pod rygorem
odpowiedzialności odszkodowawczej, zapewnić użytkowników platformy o
zastosowaniu adekwatnych środków ochrony danych, co najmniej analogicznych
do stosowanych przez danych użytkowników.
• W tym celu strona zainteresowana ochroną konkretnych danych winna, w celu
ochrony indywidualnego interesu przedsiębiorstwa, dokładnie określić w umowie
charakter danych oraz zakres wymaganej ochrony.
• W wypadku informacji określanych przez przedsiębiorcę jako poufne, konieczne dla
celów dowodowych wydaje się uzyskanie bezpośredniej zgody od właściciela
szeroko pojętych danych oraz zapewnienie właściwej ochrony, co najmniej
tożsamej z ta udzielaną przez samego użytkownika – przedsiębiorcę.
23
25.04.2012 // Prawne aspekty chmury danych LOGICAL // Robert Kazimierowicz,
Tomasz Konopa